O Grandoreiro Banking Malware Visa a Espanha Usando um Falso Plug-In do Chrome
Os pesquisadores estão alertando os usuários sobre ataques de malware de sobreposição remota que usam um falso plugin do navegador Chrome para atingir clientes bancários espanhóis. Grandoreiro é o nome do malware em questão, projetado como um Trojan bancário. Ajuda os invasores a assumir o controle de dispositivos e exibir uma mensagem de sobreposição quando os usuários acessam suas contas bancárias.
Enquanto a sobreposição engana os usuários, os atacantes realizam uma transferência de dinheiro fraudulenta. O Grandoreiro é conhecido por atacar clientes bancários no Brasil, com o último ataque expandindo suas operações para outros países. A campanha foi descoberta em fevereiro de 2020, usando vídeos com temas do Coronavírus como parte de seu spam para enganar os usuários.
O Funcionamento Interno do Grandoreiro
Quando os usuários clicam em uma URL, ela é direcionada para um site infectado, de acordo com o X-Force da IBM. Depois que os usuários visitam o site, eles são solicitados a baixar um arquivo .MSI do repositório do Github. O arquivo é o carregador do malware, com o Grandoreiro sendo baixado por meio de um URL codificado no carregador.
Quando o download é concluído, o Grandoreiro se conecta a um servidor de Comando e Controle (C2). Isso permite que os atacantes enviem notificações sobre a máquina infectada, além de acesso remoto sempre que as vítimas acessarem um site bancário. Uma das maneiras pelas quais Grandoreiro se espalha é baixando uma extensão maliciosa no Google Chrome. Essa extensão afirma ser um Plugin 1.5.0 do Google. A extensão solicita permissões, tais como exibir notificações, modificar dados e ler o histórico de navegação.
Os pesquisadores acreditam que o malware usa essa extensão para roubar cookies de máquinas infectadas. Esses cookies podem ser usados em outro dispositivo durante uma sessão ativa, não precisando mais de controle ativo sobre a máquina da vítima.
Depois de trabalhar em um dispositivo infectado, o Grandoreiro se esconde em segundo plano, aguardando as vítimas tomarem medidas que podem ser usadas, tais como navegar em um site bancário. Quando isso acontece, os atacantes usam acesso remoto através do malware e lançam imagens maliciosas da interface bancária, enganando os usuários e fazendo-os acreditar que a sessão está ativa. Quaisquer informações que os usuários digitarem podem ser roubadas pelos atacantes, que, enquanto isso, executa uma transferência que esgota a conta da vítima.
Cibercriminosos estão Expandindo a Campanha
Os pesquisadores notaram que as amostras de malware direcionadas às vítimas na Espanha tinham um código semelhante ao das amostras brasileiras, quase 90% idênticas. Isso levou à conclusão de que os atacantes originais estão se espalhando para uma nova região ou estão colaborando com criminosos espanhóis. Os Trojans de sobreposição remota são fáceis de encontrar nos mercados da Dark Web, se alguém souber onde procurar.
Os pesquisadores mencionaram que Trojans maiores, tais como o TrickBot e o IcedID, foram usados contra bancos em vários países, mas as semelhanças no idioma entre o Brasil e Portugal ou países de língua espanhola permitiram que o malware Grandoreiro se espalhasse mais livremente.